Зачем нужно принудительно использовать «tcp» в фильтре «tcpdump» при использовании «порта», если заданные номера портов определены в заголовках TCP (в отличие от IP)
Другими словами, это
tcpdump tcp and port 10000
синоним
tcpdump port 10000
Нет.
tcp and port 10000
означает "порт tcp 10000"port 10000
означает «TCP-порт 10000 или UDP-порт 10000» и является синонимом (tcp or udp) and port 10000
Я бы принудительно использовал TCP, если бы хотел, например, видеть только DNS-пакеты, которые передаются по TCP (в отличие от UDP по умолчанию).
(tcpdump
должен был быть назван packetdump
или netdump
поскольку он может выгружать информацию о пакете до уровня 2, а не уровня 4, как следует из его названия.)